“보안의 마지막 해법은 결국 암호화다”

완벽한 보안은 없다. 방어선을 뚫고 들어온 해커가 데이터를 빼가도 실질적 피해를 막아낼 수 있는 유일한 수단은 암호화다. 최근 SK텔레콤 보안 사고가 그 사실을 다시 한번 입증했다. 개인정보가 유출돼도 암호화돼 있다면 2차 피해는 원천 차단된다. 국내 1세대 보안기업 펜타시큐리티의 정태준 상무가 암호화의 중요성과 기업 보안의 방향성을 설명했다.

-펜타시큐리티는 어떤 기업인가.

▲펜타시큐리티는 1997년에 설립된 국내 1세대 보안기업이다. 기업 내부 핵심 데이터를 보호하는 암호화, 웹방화벽, 인증보안 등 기업 보안 솔루션을 중심으로 성장해왔다. 현재 데이터 암호화 솔루션 D.AMO, 웹방화벽 WAPPLES, 인증보안 iSIGN, 클라우드 보안서비스 Cloudbric을 주력으로 사업을 전개하고 있다.

이 중 D.AMO는 2004년 국내 최초로 데이터 암호화를 상용화한 제품이다. 국가종합전자조달 나라장터 기준으로 누적 점유율 55%를 기록하며 국내 암호화 시장 1위를 유지하고 있으며, 국정원 검증필 암호모듈을 기반으로 키 관리, 접근제어, 감사, 모니터링까지 통합 보안을 제공한다. 클라우드와 온프레미스 모두에서 유연하게 구축이 가능하다.

-최근 SKT 사고로 암호화 중요성이 다시 부각됐는데.

▲이번 SKT 사태는 암호화의 중요성을 단적으로 보여준 사례다. 유심 데이터가 유출됐는데, 이 데이터는 개인정보보호법상 필수 암호화 대상에 포함되지 않았다.

개인정보는 단일 정보만 놓고 보면 특정하기 어렵지만 이름, 전화번호, 주소 등 두 가지 이상이 결합되면 개인 식별이 가능하다. 법적 의무 여부를 떠나 기업 스스로 암호화 범위를 확대해야 2차 피해를 막을 수 있다.

-기업들이 암호화를 꺼리는 이유도 있을 것 같은데.

▲기업들이 가장 우려하는 부분은 성능 저하다. SKT도 인증서버(HSS) 처리 지연을 이유로 암호화를 적용하지 않았다고 밝혔다. 하지만 시스템 아키텍처를 최적화하면 오히려 암호화 적용 이후 속도가 개선되는 경우도 많다. 실제 펜타시큐리티 고객사 중에도 암호화 적용 후 성능이 향상된 사례가 있다. 암호화는 기술 자체보다 적용 노하우가 더 중요한 영역이다.

-암호화에 대한 기업들의 인식 변화도 필요하지 않나.

▲가장 큰 문제는 비용에 대한 인식이다. 기업들은 암호화를 비용으로만 생각하는 경향이 강하다. 그러나 한 번 사고가 나면 금전적 손실뿐 아니라 신뢰 하락으로 기업 존립 자체가 흔들린다. 암호화는 보험처럼 사전 대비 개념으로 접근해야 한다. 피해 복구에 들어가는 비용을 고려하면 예방 차원의 투자가 훨씬 저렴하다.

-산업별로 적용 수준도 다를 것 같은데.

▲금융권처럼 민감한 데이터를 다루는 산업에서는 법적 필수 대상 외 데이터까지 암호화를 적용하고 있다. 예를 들어 콜센터 녹취 파일처럼 주민번호 등이 포함될 수 있는 음성데이터도 암호화하는 경우가 많다. 반면 일반 기업들은 법적으로 명시되지 않은 데이터에 대해서는 여전히 암호화가 부족한 실정이다.

-앞으로의 보안 환경은 어떻게 바뀔 것으로 보는가.

▲앞으로의 보안 시장은 '연결'이 핵심이 된다. AI, 자율주행, IoT, 클라우드 등 신기술이 확산되면서 데이터 연결이 필수가 되고 있고, 그 연결된 데이터를 안전하게 보호하는 수단으로 암호화의 중요성은 더욱 커지고 있다.

펜타시큐리티는 D.AMO를 지속적으로 고도화하고 있으며, 제로트러스트 보안, AI 기반 위협 탐지, 동형암호, 양자내성암호(PQC) 같은 차세대 기술도 적극 검토 중이다.

결국 보안의 최후 보루는 암호화다. 암호화가 답이다. 이것이 펜타시큐리티가 시장에서 꾸준히 강조하고 있는 메시지다.

김정희 기자 jhakim@etnews.com